比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
“实名认证惊天漏洞”背后,支付宝搞错了什么？
　　摘要：本周四，有用户突然发现自己的支付宝账号突然多了五个绑定账号，而这些账号都没有经过他本人的认证。换句话说，他是在完全不知情的情况下，其支付宝账户下就多了5个绑定账户，而他本人也没有收到任何形式的通知消息，包括短信、邮件、或者登录后的站内信息。
　　这位用户的晒图如下：
　　用户在电话咨询支付宝客服后发现解绑较为困难，多次沟通无效后，该用户将整个过程发布到网上，随后支付宝针对此次事件作出了澄清。不少用户对支付宝的澄清表示不满，引起了人们的广泛关注。
　　而实名认证的账户之所以让用户如此担心的原因还有一个，就是贷款也是在实名信息名下的，那么攻击者可以用这些账户来贷款借钱？是否也意味着，别人可以轻易借壳于你的身份来贷款，而最终却由你来还钱？
　　此次事件的真相和具体技术细节，其实阿里的各位同仁，特别是支付宝的安全团队，会更加清楚，我过去和他们有过一些沟通，他们在技术上颇有自己的独到之处。面向数亿普通用户的金融产品，如何平衡易用性和安全性，如何做好风险监管，相信他们会更有发言权。
　　但本次事件究竟是如何从一个孤立事件变成了现在的轩然大波，整个处理过程之中有没有值得改进的地方?我想从风险管理的角度谈谈自己的看法。
　　我们知道是一家科技公司，但是支付宝，则是一家金融公司，虽然使用了大量的IT技术，却不能改变它是一家以支付、借贷、投资管理、信用管理等业务为核心的现代金融公司，IT技术只是承载金融业务的工具和平台。本次事件，是否有支付宝的某些部门对这个定位认识不清，从而造成现在后果的可能性呢？
　　请先让我们来回顾下历史，因为历史总是惊人的相似。
　　大概在10多年前，传统的金融行业经历了与今天支付宝事件类似的情况：不少金融从业人员利用职务之便，使用第三方人员的身份信息，大量申请办理信用卡，轻则套取新办卡每张数十到上百元的补贴，重则进行恶意透支套现，给银行带来了重大损失，而信息被盗取者也遇到了不少麻烦。
　　之所以会出现这种情况，是因为当时信用卡业务的发展尚处于野蛮生长期，各家银行均把圈地发展用户数作为了首要目标，一时之间卡片漫天，甚至出现过一个普通的工薪收入者手上有五六张不同信用卡的情况。
　　为了给发展用户提供便利，很多银行都降低了申请门槛，可以没有良好的信用记录、可以不需要本人在场、可以不考虑还款能力等等，为后来的各种信用卡违规犯罪开启了方便之门。
　　而这与如今互联网金融强势崛起的情况何其相似：
　　由于互联网金融的崛起，各家公司为了扩大用户数，提高交易金额，纷纷降低门槛，申请过程更容易、使用更容易，注销更困难、解绑更困难，一切都是为了快速扩张服务。
　　就本次事件来看，支付宝，或者说至少是支付宝的某个历史版本，存在着用户身份验证不完全即可绑定账号的潜在风险。这也许是为了提高产品使用体验而作出的妥协，或者是某个历史版本的安全漏洞。用户方也必然存在某种疏忽(比如个人信息泄漏，或者账号密码/邮箱泄漏)才有可能导致这个结果。
　　作为一家技术公司，当然可以说产品不可能没有安全漏洞，而且也可以清晰地通过找到用户方的责任来对后果进行免责。但是作为一家金融公司，特别是创新型的金融公司，首先要考虑的则是用户的安全体验对新业务推广的正面和负面作用。
　　新业务的推广需要改变用户的使用习惯，并且克服用户对新技术的恐惧，而问题恰好是其中会起到关键作用的一个点，不解决用户对信息安全的担忧，新业务就很难大规模的推广。上个世纪美国的银行为了推广信用卡所采取的各种安全保障措施就是一个很好的例子。
　　而在用户投诉阶段，客服人员是否清楚现有产品和历史产品的安全问题？是否能够通过有效的沟通安抚用户的情绪，并且及时地协助用户解决问题？
　　互联网金融的优势是采用互联网技术能够同时地服务海量的用户，但是在风险管理和用户体验管理上，仅凭的机器，有时是不能满足用户需求的。如果用户的满意度下降，前期辛辛苦苦发展来的用户群就会逐渐流失。
　　而互联网的特性又使得负面情绪和事件会被无限放大，从而引入了商誉风险，一旦危机公关措施不当，商誉风险的损失将远超过技术风险。
　　本次事件中，支付宝的危机公关团队虽然响应及时，但是却未能有效地安抚用户的情绪，也未能消除用户对安全问题的疑虑，反而留下了撇清推卸责任的印象，整个沟通过程和方法是否过于以自我为中心？并未能考虑到用户的体验和心理接受程度？这些都是值得我们深思和引以为鉴的。
　　从监管角度来说，监管措施往往是落后于金融业务创新的。
　　新兴的互联网金融恰好处于金融监管的灰色地带，现有的监管措施并不能有效地防范互联网金融的风险，这方面对监管机构尽快拿出新的风控措施提出了挑战。同时也更加要求行业龙头担负起责任，为整个产业的健康有序发展作出更大的贡献。
　　从个人角度来说，应注意以下几点：
　　1、使用互联网金融产品时要对可能面临的信息安全风险有着充分的认识，对自己的风险承担能力也有着足够的了解。
　　2、应该要保护好自己的个人隐私，使用拍摄证件时要注意关闭云备份，使用完要及时删除，也不要随便将证件照上传到不可信的网站。
　　3、尽可能使用复杂密码，定期更换密码，使用双重认证(例如USB KEY)。
　　4、尽可能使用专用设备进行金融操作，而不是与平时上网或者游的设备混用，特别尽量不要把密保手机用来直接进行交易。用来进行金融操作的手机不要安装非官方的应用。
　　5、遇到安全问题之后不要恐慌，及时有效地与官方沟通，创新业务的一个好处就是为了确保业务的顺利推广，前期厂商往往会对用户的风险进行兜底，所以良好有效的沟通后，实际损失并不会太严重。如果金额巨大，可以及时取证公证、并向监管机构或者消费者协会和媒体进行投诉。
　　总的来说，其实支付宝本身安全性挺高，并没有什么问题，主要还是在于用户的使用环境。当然，此次用户个人信息被盗，而支付宝没有拒绝用被盗信息注册的多个账户，目前虽然并不会产生严重后果，但是金融的风险监管问题不容忽视。希望本文能够引起对金融产品安全问题的注意。
相关文章：
[ 责任编辑：小石潭记 ]
新经济、新业态环境下，数据量呈…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte一致，表示您网站在工信部的ICP与签支付宝账户名一致。（网站备案与签约账户主体一致的要求是对部分产品的要求，具体产品要求可以查看产品大全产品的准入条件）。以下情况也可以认同为备案一致：①企业账户签约，网站备案为企业法人，可以认可为一致，反之，个人支付宝账户签约，备案为企业名称，备案为不一致；②备案主体为A公司，申请签约主体为B公司，A公司委托B公司代为运营。如果AB公司可以提供双方盖章的证明文件是代运营关系，也认同为备案一致。（代运营是指B公司只是作为网站的日常运营和维护方，网站上所提供和销售的产品或服务实际仍为A公司的产品或服务）。以下为证明文件函件模版：授权书授权人：被授权人：授权人为&&&&&&&&&&&&&&&&&&&&& （以下简称&该网站&）的所有权人及实际经营主体，因业务发展原因特授权被授权人代为运营该网站，负责该网站的日常运营活动。如被授权人在运营该网站过程中给他人造成风险与损失的，授权人承诺对此承担连带赔偿责任。授权期限：特此授权及说明！&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&授权人（盖章）：&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&本公司确认上述事实，被授权人（盖章）
kuaisubeian我已有支付宝账户
homeproxy-31-2大爷大妈学用支付宝 备战“双12”_原创新闻_实时播报_新闻_金华新闻网
关注我们：
大爷大妈学用支付宝 备战“双12”
“双12”实体店“触电”
金华新闻网12月10日消息&&金华日报东阳分社&记者&杜晓萍
蒋先生50多岁的母亲今天让他帮忙下载安装了支付宝手机客户端，还要学习怎么操作，从来不网购的母亲这是怎么了？母亲告诉她，&双12&那天，要用支付宝去超市买东西，可以享受5折优惠。
&双11&当天的盛况还历历在目，转眼&双12&就要到了。与&双11&明显不同的是，&双12&是实体店的狂欢。东阳商家也加入了这一场狂欢，超市、餐饮店、便利店等很多店门口都贴着醒目的字样：&1212&当天5折。
大爷大妈排队用手机付款
世纪联华超市东阳店工作人员潘勤告诉记者，大爷大妈为了5折优惠蛮拼的，这几天总有人跟她说：&我已经在学支付宝了，12日那天要来超市的。&
她对去年&双12&那天的火爆场景记忆犹新，用疯狂来形容毫不为过。当晚8时30分，超市里已经挤不下人了，收银机前也排起了长长的队伍，超市工作人员只好在门口守着，不让更多的顾客进入。
&超市平时晚上九点半关门，那天全部付完款已经快11点了。&潘勤说，在付款队伍中，很多都是大爷大妈，从未使用过支付宝，于是超市工作人员到收银现场，帮助他们临时安装、绑定。
超市里优惠50元封顶，所以买满100元是最实惠的。潘勤告诉记者，去年&1212&当天，能组合成100元的商品全都被抢空了。有了去年的经验，超市今年提前做了准备，先让大爷大妈学会使用支付宝，缩短支付时间，其次，100元以下的商品备货充足。
去年&双12&是星期五，世纪联华当天的销售额超过100万元，这还是打折后的销售额，比平常周末的销售额大约翻了一番。
&预计今年会比去年翻一番。&潘勤说，12日恰逢周六，而且今年活动力度更大，在享受支付宝全场5折优惠后，单笔消费实付金额满200元，还送50元商品抵用券。
东阳&触电&商家越来越多
去年&1212&，焦点首次转移到线下，近100个品牌、约2万家实体商家参加活动。也正是从那时开始，东阳与支付宝合作的&触电&实体商家越来越多。
在东阳，去年用支付宝付钱还是一个新鲜事儿，现在则十分常见。&支付宝方便顾客买单，对商家来说也很方便。&一家全国连锁的餐饮店负责人说，2个月前加入支付宝，现在手机支付的比例已近50%。
今年将有超过30万家的线下商户、全国200多个城市和澳洲、亚洲及港澳台等12个国家与地区参与，共同投入超过10亿元，包括现金折扣、优惠券与单品优惠。
其实&双12&的5折优惠有很多限制，不同合作品牌的限制也不尽相同。例如，同一用户在所有参与&1212&活动的超市中只能享受一次5折优惠，单笔优惠50元封顶；而在所有参与&1212&活动的餐饮商户中，最多可享受2次优惠，轻餐类优惠金额20元封顶，正餐类50元或100元封顶。
但是，这些限制依然挡不住消费者的热情。&据支付宝数据统计，2014年&双12&下午3时多，交易笔数就超过了400万。今年将更加疯狂。
实体店为何主打&双12&
不仅是支付宝，许多商场也想将&1212&打造成线下狂欢节，为何实体店都主打&双12&呢？
第一百货东阳店营业副总巫美俊告诉记者，虽然目前&双12&的&知名度&还赶不上&双11&，但它所处的时间段更适合商场做促销活动。
&&双11&时，一般商场里的冬装刚上新不久，而&双12&时，正要开始冬出清，因为12月底就要上部分春装了，所以冬装的折扣力度会更大。&她说，&1212&当天，第一百货部分品牌的冬装将打5折，男装如Tommy、Hazzys等品牌，款式和折扣力度与杭州同步，而&双12&还可享受最高增值20%的优惠。
并且，年底是一个消费旺季，&双12&过后就是圣诞节，随后是第一百货32周年庆，&双12&正是为接下来的一系列活动预热。&&双12&之于线下商业，就像&双11&之于网购，将成为一个重要标志。&巫美俊说。
来源： 作者：东阳分社 杜晓萍 责任编辑：汪寒